Bezpečnostní novinky

Hráči Minecraftu napadeni malwarem

Alexej Savčin, 17. dubna 2018

U téměř 50 000 hráčů Minecraftu byly nalezeny skiny obsahující malware, pokoušející se o naformatovaní připojených disků a působící další škody v systému.

AKTUALIZACE: Minecraft vydal aktualizaci, která tuto bezpečnostní chybu řeší.

Podle dat Avastu z posledních 30 dní byl téměř u 50 000 hráčů Minecraftu nalezen malware, který se pokouší o formátování připojených disků, smazání záložních dat a systémových souborů. Škodlivý skript napsaný v Powershellu, který jsme ve virové laboratoři identifikovali, se šíří přes „skiny“, neboli motivy pro Minecraft ve formátu PNG. Skiny jsou mezi hráči Minecraftu oblíbená funkce a slouží jim k úpravě jejich avataru. Jsou k dispozici ke stažení na řadě míst na internetu a uživatelé si je nahrávají na svůj účet na webu Minecraftu.

malicious-code-1

Samotný škodlivý kód není ničím zajímavý a k jeho spuštění bylo nutné dodatečných úkonů. Části kódu lze najít na různých stránkách s návody na tvorbu virů pomocí Poznámkového bloku. Dá se tedy předpokládat, že nejde o dílo profesionálních kybernetických zločinců, avšak znepokojuje nás, že bylo možné infikované skiny nahrát na web Minecraftu. Když je malware hostován na oficiální doméně Minecraftu a nějaký bezpečnostní program jej najde, uživatelé to mohou mylně považovat za planý poplach.

url-of-malicious-minecraft-skin-2-1Adresa škodlivého skinu

Kontaktovali jsme tvůrce Minecraftu, společnost Mojang, a momentálně se pracuje na nápravě této bezpečnostní chyby.

Proč zrovna Minecraft?

V lednu 2018 měl Minecraft 74 milionů hráčů z celého světa a jejich počet meziročně vzrostl o 20 milionů. Pouze mizivé procento z nich si však aktivně nahrává upravené skiny. Většina uživatelů používá výchozí skiny, které nabízí přímo Minecraft. To také vysvětluje, proč se hrozba příliš nerozšířila. V průběhu 10 dní jsme zablokovali 14 500 výskytů  této infekce. Sice jde pouze o malý počet útoků, ale vzhledem k vysokému počtu aktivních hráčů po celém světě mohla mít tato hrozba mnohem širší dopad.

detection-heatmap-4

Mapa detekcí

Ačkoli má Minecraft své hráče ve všech věkových skupinách, nejčastěji jej hrají lidé ve věku 15–21 let, kteří představují 43 % jeho uživatelské základny. Cílem útočníků tedy mohli být nic netušící nezletilí uživatelé, protože jejich rodiče obvykle považují Minecraft za neškodnou hru. Možná šlo jen o penetrační test, ale je pravděpodobnější, že šlo o útok pro zábavu, což bývá běžným chováním takzvaných script kiddies.

Jak hrozbu rozpoznat?

Uživatelé dokáží hrozbu rozpoznat různými způsoby. Malware je přítomen ve skinech dostupných na webu Minecraftu. Níže naleznete příklady tří skinů, které malware obsahují.

Většina skinů škodlivá není. Pokud jste si však stáhli skin, který se podobá těm níže uvedeným, doporučujeme váš počítač otestovat antivirem.

minecraft-skins-3

Uživatelům také mohou zobrazit nezvyklé zprávy. Například:

“You Are Nailed, Buy A New Computer This Is A Piece Of Sh*t”
“You have maxed your internet usage for a lifetime”
“Your a** got glued”

minecraft-5

Obsažený kód způsobuje výkonnostní problémy počítače, které jsou způsobovány jednoduchým spouštěním souboru tourstart.exe ve smyčce. Prázdné disky, nebo chybějící systemové soubory, jsou také výsledkem daného skriptu.

tourstart-exe-minecraft-6

Jak se uživatelé mohou chránit?

Když si počítač otestujete účinným antivirem, jako je Avast Free Antivirus, tuto hrozbu dokážete najít a odstranit. V extrémnějších případech, kdy už byl počítač infikován malwarem a došlo ke smazání disku, doporučujeme obnovit vaše data ze zálohy.